Thực đơn
trang chủExcel

Giải pháp tiêu chuẩn để tổ chức truy cập Internet cho các tổ chức nhỏ. Xem xét các tùy chọn để tổ chức truy cập các dịch vụ mạng công ty từ Internet

Bài dự thi: 4

Kiểm soát truy cập Internet từ xa (kiểm soát của phụ huynh)

Hướng dẫn này mô tả quá trình thiết lập máy tính chạy hệ điều hành Windows XP, 7 hoặc Linux (Ubuntu) để điều khiển từ xa việc truy cập vào các trang Internet.

Hướng dẫn sử dụng không mô tả chi tiết cách làm việc với dịch vụ Rejector, điều này sẽ được thảo luận bên dưới, nó chỉ cho phép bạn định cấu hình máy tính của mình theo cách tận dụng tối đa khả năng của nó.

Tất cả các công cụ được sử dụng đều là phần mềm nguồn mở hoặc miễn phí.

Giới thiệu

Internet là một công cụ tuyệt vời để học tập, thư giãn hoặc giao tiếp với bạn bè. Nhưng ngoài những thông tin hữu ích trên Internet, còn có những thông tin không tốt cho con bạn. Ngoài ra, việc lướt Internet trong nhiều giờ có thể khiến bạn mất tập trung vào các hoạt động quan trọng khác, chẳng hạn như bài tập về nhà, thể thao, giấc ngủ hoặc giao lưu với bạn bè. Vì vậy, cần phải giám sát các hoạt động trực tuyến của trẻ.

Có nhiều phương pháp kiểm soát khác nhau nhưng không phải lúc nào cũng hiệu quả. Những cuộc trò chuyện thuyết phục và mang tính giáo dục có thể có tác dụng trong thời gian rất ngắn, bởi vì việc sử dụng Internet có thể quyến rũ một đứa trẻ đến mức trẻ quên mất mọi sự thuyết phục. Và các lệnh cấm có thể ảnh hưởng tiêu cực đến việc phát triển các kỹ năng hữu ích cho việc tìm kiếm và học tập trên Internet.

Trong những trường hợp như vậy, các chương trình đặc biệt để hạn chế và kiểm soát quyền truy cập vào mạng sẽ giúp bạn. Với sự giúp đỡ của họ, bạn có thể bảo vệ con mình khỏi những ảnh hưởng tiêu cực của Internet, nhưng đồng thời mang lại quyền tự do hành động. Một công cụ như vậy là Hệ thống kiểm soát truy cập Internet từ chối.

Rejector là một dự án tập trung để kiểm soát truy cập Internet. Nó sẽ cho phép bạn bảo vệ trẻ em và thanh thiếu niên khỏi những thông tin nguy hiểm. Về cơ bản, Rejector là một máy chủ DNS có khả năng điều khiển nó từ xa.

Làm thế nào nó hoạt động?

    Bạn đăng ký, thêm IP, định cấu hình cài đặt truy cập. Bạn có thể sử dụng dịch vụ mà không cần đăng ký, nhưng khi đó bạn sẽ không thể sử dụng tất cả các tính năng của dịch vụ.

    Máy tính của bạn được định cấu hình để tất cả các yêu cầu DNS được gửi đến máy chủ DNS Từ chối 95.154.128.32 và 176.9.118.232.

    Mỗi yêu cầu đều được kiểm tra dựa trên cài đặt của bạn, chẳng hạn như danh mục hoặc trang web bị chặn, trang web được phép hoặc bị chặn, danh sách dấu trang hoặc trang web lừa đảo và nếu bị chặn, yêu cầu sẽ được chuyển hướng đến trang chặn.

    Bạn có thể tùy chỉnh trang này theo ý muốn.

    Các yêu cầu được phép vượt qua quá trình kiểm tra sẽ đi vào bộ đệm yêu cầu chung để gửi nhanh chóng tới tất cả khách hàng.

Bạn có thể tìm thấy mô tả chi tiết hơn về sản phẩm Rejector trên trang web chính thức từ chối.ru

Hướng dẫn thiết lập hệ thống

1. Tạo người dùng với các quyền thông thường

Thông thường, khi cài đặt hệ điều hành, người dùng có quyền Quản trị viên sẽ được tạo. Người dùng như vậy có thể thực hiện tất cả các hành động có thể do hệ điều hành cung cấp, bao gồm cả việc xóa chính hệ thống đó.

Để loại trừ khả năng đảo ngược của tất cả các hành động tiếp theo của chúng tôi đối với người dùng mà chúng tôi kiểm soát, chúng tôi sẽ tạo một người dùng có các quyền hạn chế và chúng tôi sẽ sử dụng mật khẩu cho Quản trị viên.

Trên Windows, việc này được thực hiện thông qua Control Panel; Trên Linux, việc tạo người dùng có sẵn thông qua Cài đặt hệ thống.

2. Thiết lập kết nối mạng

Rejector là một dịch vụ về cơ bản là một máy chủ DNS. Để làm việc với nó, trước tiên bạn cần định cấu hình kết nối mạng để các yêu cầu DNS được gửi đến máy chủ DNS Từ chối 95.154.128.32 và 176.9.118.232.

Điều này được thực hiện khác nhau trên Windows và Linux.

Windows XP

Windows Vista

Hướng dẫn chi tiết có tại

Windows 7

Hướng dẫn chi tiết có tại

Hầu hết các hệ điều hành Linux đều sử dụng chương trình Network Manager để cấu hình mạng. Để thay đổi máy chủ DNS, hãy làm như sau:

    Nhấp chuột phải vào chỉ báo kết nối và trong menu ngữ cảnh, chọn mục Thay đổi kết nối

    Nếu bạn sử dụng máy chủ DHCP khi kết nối Internet thì trong thông số IPv4 chúng ta thay đổi Phương pháp cài đặt TRÊN Tự động (DHCP, chỉ địa chỉ)

    Trong lĩnh vực Máy chủ DNS nhập hai địa chỉ cách nhau bằng dấu phẩy 95.154.128.32, 176.9.118.232

    Tạo kết nối Có sẵn cho tất cả người dùngTự động kết nối

3. Đăng ký trên trang web Rejector

Về nguyên tắc, đây là nơi chúng ta có thể bắt đầu. Nhưng bây giờ một trong những khó khăn đã ở phía sau, chúng tôi thực hiện việc này một cách dễ dàng và đơn giản. Theo liên kết và điền vào một mẫu đăng ký đơn giản.

4. Thêm mạng được quản lý

Bằng cách đăng ký dịch vụ, chúng tôi có thể tạo số lượng mạng cần thiết hoặc về nguyên tắc, điều tương tự - khách hàng mà chúng tôi sẽ quản lý. Mạng (Khách hàng) được xác định trên dịch vụ bằng địa chỉ IP của họ. Do đó, để kiểm soát việc truy cập Internet của máy tính, bạn cần biết địa chỉ IP của nó. Hiện tại, chúng ta hãy tạo Mạng thông qua Control Panel trên trang web Rejector tại.

Điền vào biểu mẫu Thêm mạng. Tên mạng -ở đây bạn có thể cho biết tên của con bạn nếu nó có máy tính riêng và bạn muốn điều khiển nó. Trạng thái— rất có thể, bạn sẽ có địa chỉ IP Động (hiếm nhà cung cấp nào phân bổ miễn phí địa chỉ Tĩnh cho khách hàng của họ), vì vậy chúng tôi chọn chuyển đổi này. ID mạng- bạn có thể viết bằng tiếng Latin tên bạn đã chỉ định trong trường đầu tiên.

5. Gửi địa chỉ IP

Để dịch vụ hoạt động, nó cần liên tục “biết” địa chỉ IP của khách hàng, địa chỉ này có thể thay đổi từ kết nối này sang kết nối khác (địa chỉ IP động). Đây là vấn đề chính mà hướng dẫn này giải quyết.

Bản thân các nhà phát triển dịch vụ cung cấp chương trình Tác nhân từ chối, chương trình này sẽ gửi địa chỉ IP của khách hàng đến máy chủ. Tuy nhiên, chương trình này không thể hoạt động tự chủ. Vì vậy, chúng tôi sẽ tận dụng cơ hội khác được cung cấp. Cụ thể là cập nhật bằng yêu cầu HTTP (mô tả tại liên kết).

Để cập nhật thông tin Khách hàng thông qua yêu cầu HTTP ở chế độ nền, chúng tôi cần chương trình Curl. Chương trình này có khả năng gửi các bản HTTP tới Internet thông qua dòng lệnh. Chúng tôi sẽ thiết lập các tham số cho chương trình này trong tập lệnh; đối với Windows, đây sẽ là tệp bash dành cho Linux - sh.

Curl có sẵn miễn phí và có phiên bản Windows, vì vậy chúng tôi sẽ sử dụng nó trong cả hai môi trường. Đối với Windows, bạn có thể tải xuống phiên bản mới nhất của chương trình từ liên kết này. Để cài đặt, chỉ cần giải nén nội dung của kho lưu trữ kết quả vào thư mục C:\WINDOWS\SYSTEM32 (điều này sẽ giúp khởi chạy chương trình dễ dàng hơn). Trong hệ điều hành Linux, rất có thể nó đã được cài đặt sẵn.

6. Kịch bản cập nhật địa chỉ IP thường xuyên

Trang web cung cấp yêu cầu HTTP sau http://tên người dùng: [email được bảo vệ]/ni...,
sẽ cập nhật giá trị địa chỉ IP. Chúng tôi sẽ thay thế nó làm tham số cho chương trình cuộn tròn.

Yêu cầu cập nhật địa chỉ phải được gửi từ máy tính mà chúng ta muốn kiểm soát. Do thiết bị đầu cuối văn bản xử lý các lệnh theo cách đặc biệt nên văn bản yêu cầu phải được thay đổi một chút. Văn bản tập lệnh dành cho Windows và Linux được đưa ra dưới đây.

Cho cửa sổ

:vòng
cuộn tròn "http:// đăng nhập%%40mail-server.com:mật khẩu@updates.rejector.ru/nic/update?hostname= tên mạng"
# Thực hiện độ trễ 300 giây
ping -n 300 127.0.0.1 > NUL
tiếng vang 111
vòng lặp goto

Trong đó login%%40mail-server.com là hộp thư mà bạn đã đăng ký trên Rejector (dấu @ được thay thế bằng %%40); mật khẩu - mật khẩu; net-name là tên mạng trên dịch vụ Rejector. Đặt văn bản tập lệnh vào một tệp văn bản thông thường, thay thế phần mở rộng bằng .bat và bạn sẽ nhận được một tập lệnh thực thi.

Dành cho Linux

#! /usr/bin/sh
trong khi đúng; làm cuộn tròn -u [email được bảo vệ]:password "http://updates.rejector.ru/nic/update?hostname=... ngủ 300; xong;

Mọi thứ ở đây đều tương tự như mục dành cho Windows. Viết văn bản này vào một tệp văn bản có phần mở rộng sh.

Cả hai tập lệnh đều chứa mật khẩu tài khoản Từ chối ở dạng văn bản rõ ràng, do đó cần phải ẩn nội dung của chúng khỏi chế độ xem đối với người dùng bình thường. Điều này được triển khai khác nhau trong Linux và Windows

Để cấm xem và chỉnh sửa tệp này do chúng tôi tạo, cần phải thay đổi chủ sở hữu và nhóm tệp thành root và từ chối tất cả mọi người ngoại trừ chủ sở hữu quyền truy cập vào tệp. Nếu bạn có kỹ năng dòng lệnh, thì bạn cần sử dụng lệnh đĩa CD vào thư mục chứa file script và thực hiện lệnh chown root:root skcrypt.shchmod 700 script.sh.,Để thực hiện tương tự trong shell đồ họa, trước tiên bạn phải khởi chạy trình quản lý tệp với quyền quản trị viên, tìm tệp tập lệnh và thay đổi Quyền, bằng cách sử dụng menu ngữ cảnh.

Không đi sâu vào cách bạn có thể thay đổi quyền truy cập tệp tương tự như Linux, tôi đã áp dụng giải pháp sau. Hãy chuyển đổi tệp thực thi của chúng tôi thành tệp EXE để ẩn nội dung của nó. Với mục đích này, chúng tôi sẽ sử dụng một chương trình miễn phí Chuyển đổi Bat sang Exe. Tôi khuyên bạn nên tải xuống phiên bản Nga hóa của nó từ liên kết hoặc trên trang web chính thức của chương trình. Chương trình không yêu cầu bất kỳ lời giải thích nào trong hoạt động. Ở đầu vào, chúng tôi đặt tệp bat, ở đầu ra, chúng tôi nhận được tệp exe.

7. Đặt nó tự động khởi động

Bước cuối cùng vẫn phải được thực hiện. Hãy làm cho chương trình tự động khởi động khi hệ thống khởi động. Điều này được thực hiện khác nhau trong Linux và Windows.

Chúng tôi đăng nhập với tư cách Quản trị viên và di chuyển tệp thực thi của chúng tôi vào thư mục PogramFiles. Trong thư mục chính của người dùng, chúng tôi tìm thấy thư mục Thực đơn chính, trong đó Chương trình, Tự động chạy nơi chúng tôi đặt lối tắt từ chương trình của mình (điều này có thể được thực hiện bằng cách kéo chính chương trình trong khi giữ phím Shift). Sẵn sàng.

Đặt tập tin thực thi vào thư mục /usr/bin. Hãy chỉnh sửa tệp để khởi chạy ứng dụng hệ thống cục bộ /etc/rc.local, thêm một dòng vào trước thoát 0.

/usr/bin/script.sh

Ở đâu script.sh- tên tập tin của chúng tôi.

Điều này hoàn tất việc thiết lập hệ thống. Bạn có thể truy cập dịch vụ Rejector và định cấu hình chế độ vận hành mạng.

Ngoài tính toán lưu lượng truy cập, ICS còn có thể hạn chế quyền truy cập vào Internet và cũng cho phép bạn kiểm soát hoàn toàn tốc độ truyền dữ liệu. Đây là một trong những hệ thống hiệu quả nhất cho phép bạn quản lý quyền truy cập Internet của người dùng mạng công ty.

Kiểm soát hoàn toàn để sử dụng hiệu quả mạng công ty

Hạn chế Internet là một trong những nhiệm vụ cấp bách khi tạo và duy trì mạng công ty. Không có gì bí mật khi nhân viên văn phòng thường không sử dụng truy cập Internet để giải quyết các vấn đề trong công việc. Kết quả là năng suất làm việc giảm đáng kể, đồng nghĩa với hiệu quả kinh doanh bị ảnh hưởng.

ICS có nhiều khả năng, bao gồm cả khả năng hạn chế quyền truy cập và cũng cho phép bạn đặt các hạn chế đối với lưu lượng truy cập Internet theo IP hoặc theo các URL đã chọn trên mạng. Tất cả các hạn chế có thể áp dụng cho các danh mục và nhóm người dùng khác nhau. Điều này đảm bảo sử dụng hiệu quả mạng công ty, giúp cải thiện năng suất và cũng giảm chi phí dịch vụ của nhà cung cấp.

Có thể dễ dàng kiểm soát tốc độ Internet trên mạng của công ty bạn thông qua việc sử dụng Proxy-server và Tường lửa. Điều này mang lại niềm tin rằng tất cả nhân viên chỉ sử dụng World Wide Web để giải quyết các vấn đề trong công việc. Kết quả là, hiệu quả văn phòng tăng lên đáng kể và lợi nhuận tăng lên.

Kiểm soát việc sử dụng Internet bằng ICS

Nhờ sử dụng ICS, việc kiểm soát thuận tiện việc người dùng truy cập Internet trên mạng công ty được cung cấp, điều này có thể được thực hiện theo nhiều cách. Bạn có thể giới hạn lưu lượng truy cập Internet bằng cách sử dụng cài đặt linh hoạt. Các chức năng sau đây được cung cấp:

  • nếu việc chặn bị vi phạm, một thông báo cụ thể sẽ được đưa ra hoặc người dùng sẽ được chuyển hướng đến một trang web cụ thể;
  • có thể đặt giới hạn tạm thời cho việc truy cập Internet;
  • kiểm soát lưu lượng truy cập và tài nguyên đã truy cập bằng cách sử dụng tính năng lọc nội dung - quyền truy cập vào tài nguyên của một danh mục nhất định bị chặn.

Ngoài ra, chương trình cho phép bạn định cấu hình các phương thức ủy quyền khác nhau. Do đó, việc hạn chế và kiểm soát quyền truy cập Internet có thể được thực hiện bằng các phương pháp sau:

  • nhập thông tin đăng nhập và mật khẩu cá nhân của bạn;
  • có quyền truy cập Internet khi đăng nhập bằng tài khoản cá nhân (“ActiveDirectory”);
  • ủy quyền cho một IP cụ thể;
  • sử dụng một chương trình đại lý đặc biệt.

Khả năng quản lý người dùng

Có thể hợp nhất người dùng mạng cục bộ của doanh nghiệp thành các nhóm tùy thuộc vào bất kỳ đặc điểm nào, ví dụ: cơ cấu tổ chức, trách nhiệm công việc, v.v. Điều này làm tăng đáng kể hiệu quả kiểm soát truy cập trong mạng cục bộ. Mỗi nhóm này có thể được chỉ định một quản trị viên riêng. Kiểm soát việc sử dụng Internet có thể bao gồm việc chặn hoặc hạn chế quyền truy cập riêng biệt cho bất kỳ nhóm hiện có nào với khả năng đặt quy tắc chi tiết.

Truy cập Internet cũng có thể được cung cấp cho các doanh nghiệp khác với khả năng đặt ra một số hạn chế nhất định. Trong trường hợp này, một nhóm riêng biệt có thể được tạo cho mỗi doanh nghiệp này bằng mật khẩu được cung cấp cho quản trị viên của nhóm đó. Điều này có thể được gọi là việc chuyển giao ICS ảo để bên thứ ba sử dụng.


Làm việc với các văn phòng từ xa

Bằng cách mua ICS, bạn sẽ nhận được một máy chủ VPN được tạo sẵn, máy chủ này sẽ cung cấp liên lạc với các văn phòng từ xa của công ty bằng cách sử dụng đường hầm được mã hóa với khả năng kiểm soát tốc độ Internet cho từng văn phòng đó. Thông tin liên lạc được cung cấp hiệu quả như thể các văn phòng từ xa được kết nối vật lý với mạng công ty chung của công ty.


Mua ICS

Bạn có thể mua ICS bằng cách sử dụng mẫu đơn đặt hàng trên trang web của chúng tôi.

Công ty chúng tôi cung cấp hỗ trợ kỹ thuật tích cực cho khách hàng về mọi vấn đề liên quan đến việc sử dụng chương trình. Bằng cách mua Giấy phép cập nhật bổ sung (Premium), bạn đặt mọi lo lắng về việc cài đặt, định cấu hình và bảo trì ICS vào tay các chuyên gia của chúng tôi - một lựa chọn lý tưởng cho những ai muốn mua và quên đi, đồng thời nhận được lợi ích tối đa từ việc sử dụng ICS . Mọi ý kiến ​​tư vấn vui lòng liên hệ bộ phận bán hàng.

Loại hình tổ chức

Chọn loại hình tổ chức Cơ sở giáo dục Tổ chức ngân sách Tổ chức thương mại

GIÁ KHÔNG ÁP DỤNG cho các cơ sở tư thục ngoài công lập và các cơ sở giáo dục chuyên nghiệp sau đại học

Phiên bản ICS

Không cần ICS Tiêu chuẩn ICS FSTEC

Để tính chi phí FSTEC vui lòng liên hệ bộ phận kinh doanh

Loại giao hàng

ICS ICS + SkyDNS ICS + Lọc web Kaspersky

Loại giấy phép

Giấy phép mới Cập nhật giấy phép

Gia hạn giấy phép cập nhật cao cấp

Số lượng người dùng

Gia hạn giấy phép

C trước người dùng


Kivshenko Alexey, 1880

Bài viết này có một cái nhìn tổng quan năm các phương án giải quyết vấn đề tổ chức truy cập các dịch vụ mạng công ty từ Internet. Đánh giá này đưa ra phân tích về các phương án về độ an toàn và tính khả thi, điều này sẽ giúp cả những chuyên gia mới vào nghề và những chuyên gia giàu kinh nghiệm hơn hiểu được bản chất của vấn đề, làm mới và hệ thống hóa kiến ​​​​thức của họ. Các tài liệu trong bài viết có thể được sử dụng để biện minh cho quyết định thiết kế của bạn.

Khi xem xét các tùy chọn, hãy lấy mạng nơi bạn muốn xuất bản làm ví dụ:

  1. Máy chủ thư công ty (Web-mail).
  2. Máy chủ đầu cuối doanh nghiệp (RDP).
  3. Dịch vụ Extranet dành cho đối tác (Web-API).

Phương án 1: Mạng phẳng

Trong tùy chọn này, tất cả các nút của mạng công ty được chứa trong một mạng chung cho tất cả (“Mạng nội bộ”), trong đó liên lạc giữa chúng không bị giới hạn. Mạng được kết nối với Internet thông qua bộ định tuyến/tường lửa biên giới (sau đây gọi là IFW).

Máy chủ truy cập Internet thông qua NAT và truy cập các dịch vụ từ Internet thông qua chuyển tiếp cổng.

Ưu điểm của tùy chọn:

  1. Yêu cầu chức năng tối thiểu IFW(có thể được thực hiện trên hầu hết mọi bộ định tuyến, thậm chí cả bộ định tuyến gia đình).
  2. Yêu cầu kiến ​​thức tối thiểu đối với chuyên gia thực hiện phương án.
Nhược điểm của tùy chọn:
  1. Mức độ bảo mật tối thiểu. Trong trường hợp bị hack mà Kẻ xâm nhập giành được quyền kiểm soát một trong các máy chủ được xuất bản trên Internet, tất cả các nút và kênh liên lạc khác của mạng công ty sẽ có sẵn cho kẻ xâm nhập để thực hiện các cuộc tấn công tiếp theo.
Tương tự với đời thực
Mạng lưới như vậy có thể được so sánh với một công ty nơi nhân viên và khách hàng ở trong một phòng chung (không gian mở)


hmaximum.ru

Phương án 2. DMZ

Để loại bỏ nhược điểm đã đề cập trước đó, các nút mạng có thể truy cập từ Internet được đặt trong một phân đoạn được chỉ định đặc biệt - khu phi quân sự (DMZ). DMZ được tổ chức bằng cách sử dụng tường lửa ngăn cách nó với Internet ( IFW) và từ mạng nội bộ ( DFW).


Trong trường hợp này, các quy tắc lọc tường lửa trông như thế này:
  1. Từ mạng nội bộ, bạn có thể bắt đầu kết nối với DMZ và WAN (Mạng diện rộng).
  2. Từ DMZ, bạn có thể bắt đầu kết nối với mạng WAN.
  3. Từ mạng WAN, bạn có thể bắt đầu kết nối với DMZ.
  4. Việc bắt đầu kết nối từ WAN và DMZ tới mạng nội bộ đều bị cấm.


Ưu điểm của tùy chọn:
  1. Tăng cường bảo mật mạng chống lại việc hack các dịch vụ riêng lẻ. Ngay cả khi một trong các máy chủ bị hack, Kẻ xâm nhập sẽ không thể truy cập các tài nguyên nằm trên mạng nội bộ (ví dụ: máy in mạng, hệ thống giám sát video, v.v.).
Nhược điểm của tùy chọn:
  1. Bản thân việc di chuyển máy chủ đến DMZ không làm tăng tính bảo mật của chúng.
  2. Cần có tường lửa bổ sung để tách DMZ khỏi mạng nội bộ.
Tương tự với đời thực
Phiên bản kiến ​​trúc mạng này tương tự như cách tổ chức khu vực làm việc và khách hàng trong một công ty, nơi khách hàng chỉ có thể ở trong khu vực khách hàng và nhân viên có thể ở cả khu vực khách hàng và khu vực làm việc. Phân đoạn DMZ chính xác là một phần tương tự của vùng khách hàng.


autobam.ru

Phương án 3. Chia dịch vụ thành Front-End và Back-End

Như đã lưu ý trước đó, việc đặt máy chủ trong DMZ không hề cải thiện tính bảo mật của chính dịch vụ đó. Một trong những phương án để khắc phục tình trạng này là chia chức năng của dịch vụ thành hai phần: Front-End và Back-End. Hơn nữa, mỗi phần được đặt trên một máy chủ riêng biệt, giữa đó tổ chức tương tác mạng. Các máy chủ Front-End thực hiện chức năng tương tác với các máy khách trên Internet được đặt trong DMZ và các máy chủ Back-End thực hiện các chức năng còn lại được đặt trên mạng nội bộ. Đối với sự tương tác giữa chúng trên DFW tạo các quy tắc cho phép bắt đầu kết nối từ Front-End đến Back-End.

Ví dụ: hãy xem xét một dịch vụ email công ty phục vụ khách hàng cả từ bên trong mạng và từ Internet. Các máy khách từ bên trong sử dụng POP3/SMTP và các máy khách từ Internet hoạt động thông qua giao diện Web. Thông thường, ở giai đoạn triển khai, các công ty chọn phương pháp triển khai dịch vụ đơn giản nhất và đặt tất cả các thành phần của nó trên một máy chủ. Sau đó, do nhu cầu đảm bảo bảo mật thông tin được thực hiện, chức năng của dịch vụ được chia thành các phần và phần chịu trách nhiệm phục vụ khách hàng từ Internet (Front-End) được chuyển đến một máy chủ riêng, tương tác qua mạng với máy chủ thực hiện chức năng còn lại (Back -End). Trong trường hợp này, Front-End được đặt trong DMZ và Back-End vẫn ở phân đoạn bên trong. Để liên lạc giữa Front-End và Back-End trên DFW tạo quy tắc cho phép bắt đầu kết nối từ Front-End đến Back-End.

Ưu điểm của tùy chọn:

  1. Nhìn chung, các cuộc tấn công nhằm vào dịch vụ được bảo vệ có thể “vấp phải” Front-End, điều này sẽ vô hiệu hóa hoặc giảm đáng kể thiệt hại có thể xảy ra. Ví dụ: các cuộc tấn công như TCP SYN Flood hoặc http đọc chậm nhằm vào một dịch vụ sẽ dẫn đến việc máy chủ Front-End có thể không hoạt động, trong khi Back-End vẫn tiếp tục hoạt động bình thường và phục vụ người dùng.
  2. Nói chung, máy chủ Back-End có thể không có quyền truy cập vào Internet, điều này nếu bị tấn công (ví dụ: do mã độc chạy cục bộ) sẽ gây khó khăn cho việc quản lý từ xa từ Internet.
  3. Front-End rất phù hợp để lưu trữ tường lửa cấp ứng dụng (ví dụ: tường lửa ứng dụng Web) hoặc hệ thống ngăn chặn xâm nhập (ví dụ: IPS, snort).
Nhược điểm của tùy chọn:
  1. Để liên lạc giữa Front-End và Back-End trên DFW một quy tắc được tạo ra cho phép bắt đầu kết nối từ DMZ đến mạng nội bộ, điều này tạo ra các mối đe dọa liên quan đến việc sử dụng quy tắc này từ các nút khác trong DMZ (ví dụ: thông qua việc thực hiện các cuộc tấn công giả mạo IP, đầu độc ARP, vân vân.)
  2. Không phải tất cả các dịch vụ đều có thể được chia thành Front-End và Back-End.
  3. Công ty phải thực hiện các quy trình kinh doanh để cập nhật các quy tắc tường lửa.
  4. Công ty phải triển khai các cơ chế để bảo vệ khỏi các cuộc tấn công từ Những kẻ xâm nhập đã giành được quyền truy cập vào máy chủ trong DMZ.
Ghi chú
  1. Trong thực tế, ngay cả khi không chia máy chủ thành Front-End và Back-End, các máy chủ từ DMZ thường rất cần truy cập vào các máy chủ nằm trên mạng nội bộ, do đó, những nhược điểm đã chỉ ra của tùy chọn này cũng sẽ đúng với tùy chọn đã xem xét trước đó.
  2. Nếu chúng ta xem xét việc bảo vệ các ứng dụng chạy qua giao diện Web thì ngay cả khi máy chủ không hỗ trợ tách chức năng thành Front-End và Back-End, việc sử dụng máy chủ proxy ngược http (ví dụ: nginx) làm Front-End sẽ giảm thiểu rủi ro liên quan đến các cuộc tấn công từ chối dịch vụ. Ví dụ: các cuộc tấn công tràn SYN có thể khiến proxy ngược http không khả dụng trong khi Back-End tiếp tục hoạt động.
Tương tự với đời thực
Phương án này về cơ bản tương tự như cách tổ chức công việc, trong đó trợ lý - thư ký - được sử dụng cho những người lao động có tải trọng cao. Khi đó Back-End sẽ tương tự như một nhân viên bận rộn và Front-End sẽ tương tự như một thư ký.


mln.kz

Tùy chọn 4: DMZ an toàn

DMZ là một phần của mạng có thể truy cập được từ Internet và do đó, nó phải chịu rủi ro xâm phạm máy chủ tối đa. Thiết kế của DMZ và các phương pháp tiếp cận được sử dụng trong đó phải mang lại khả năng sống sót tối đa trong điều kiện Kẻ xâm nhập đã giành được quyền kiểm soát một trong các nút trong DMZ. Về các cuộc tấn công có thể xảy ra, hãy xem xét các cuộc tấn công mà hầu hết tất cả các hệ thống thông tin hoạt động với cài đặt mặc định đều dễ bị tấn công:

Bảo vệ chống lại các cuộc tấn công DHCP

Mặc dù thực tế là DHCP nhằm mục đích tự động hóa việc cấu hình địa chỉ IP cho máy trạm, nhưng ở một số công ty vẫn có trường hợp địa chỉ IP cho máy chủ được cấp thông qua DHCP, nhưng đây là một cách làm khá tệ. Do đó, để bảo vệ khỏi Rogue DHCP Server, tình trạng chết đói DHCP, nên tắt hoàn toàn DHCP trong DMZ.

Bảo vệ chống lại các cuộc tấn công lũ lụt MAC

Để bảo vệ khỏi lũ MAC, các cổng chuyển đổi được cấu hình để hạn chế cường độ tối đa của lưu lượng phát sóng (vì các cuộc tấn công này thường tạo ra lưu lượng phát sóng). Các cuộc tấn công liên quan đến việc sử dụng các địa chỉ mạng (unicast) cụ thể sẽ bị chặn bởi bộ lọc MAC mà chúng ta đã thảo luận trước đó.

Bảo vệ chống lại các cuộc tấn công lũ lụt UDP

Việc bảo vệ chống lại kiểu tấn công này tương tự như bảo vệ chống lại lũ lụt MAC, ngoại trừ việc lọc được thực hiện ở cấp IP (L3).

Bảo vệ chống lại các cuộc tấn công lũ lụt TCP SYN

Để bảo vệ khỏi cuộc tấn công này, có thể thực hiện các tùy chọn sau:
  1. Bảo vệ tại nút mạng bằng công nghệ TCP SYN Cookie.
  2. Bảo vệ ở cấp độ tường lửa (tùy thuộc vào mạng con DMZ) bằng cách giới hạn cường độ lưu lượng truy cập chứa các yêu cầu TCP SYN.

Bảo vệ chống lại các cuộc tấn công vào dịch vụ mạng và ứng dụng Web

Không có giải pháp chung cho vấn đề này, nhưng thông lệ đã được thiết lập là triển khai các quy trình quản lý lỗ hổng phần mềm (ví dụ: xác định, cài đặt các bản vá, v.v.), cũng như sử dụng các hệ thống ngăn chặn và phát hiện xâm nhập (IDS/IPS).

Bảo vệ chống lại các cuộc tấn công bỏ qua xác thực

Như trong trường hợp trước, không có giải pháp chung cho vấn đề này.
Thông thường, trong trường hợp có nhiều lần ủy quyền không thành công, các tài khoản sẽ bị chặn để tránh đoán dữ liệu xác thực (ví dụ: mật khẩu). Nhưng cách tiếp cận này gây khá nhiều tranh cãi và đây là lý do.
Thứ nhất, Kẻ xâm nhập có thể thực hiện việc lựa chọn thông tin xác thực với cường độ không dẫn đến việc khóa tài khoản (có trường hợp mật khẩu được chọn trong nhiều tháng với khoảng thời gian giữa các lần thử là vài chục phút).
Thứ hai, tính năng này có thể được sử dụng để tấn công từ chối dịch vụ, trong đó kẻ tấn công sẽ cố tình thực hiện một số lượng lớn các lần ủy quyền để chặn tài khoản.
Tùy chọn hiệu quả nhất chống lại các cuộc tấn công thuộc loại này sẽ là sử dụng hệ thống IDS/IPS, hệ thống này khi phát hiện các nỗ lực đoán mật khẩu sẽ không chặn tài khoản mà chặn nguồn mà việc đoán này xảy ra (ví dụ: chặn địa chỉ IP của kẻ đột nhập).

Danh sách cuối cùng của các biện pháp bảo vệ cho tùy chọn này:

  1. DMZ được chia thành các mạng con IP với mạng con riêng cho mỗi nút.
  2. Địa chỉ IP được quản trị viên gán thủ công. DHCP không được sử dụng.
  3. Trên các giao diện mạng mà các nút DMZ được kết nối, tính năng lọc MAC và IP, các hạn chế về cường độ lưu lượng phát sóng và lưu lượng chứa các yêu cầu TCP SYN được kích hoạt.
  4. Việc tự động đàm phán các loại cổng bị vô hiệu hóa trên các thiết bị chuyển mạch và việc sử dụng Vlan gốc bị cấm.
  5. Cookie TCP SYN được định cấu hình trên các nút DMZ và máy chủ mạng nội bộ mà các nút này kết nối.
  6. Quản lý lỗ hổng phần mềm được triển khai cho các nút DMZ (và tốt nhất là phần còn lại của mạng).
  7. Hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS đang được triển khai tại phân khúc DMZ.
Ưu điểm của tùy chọn:
  1. Mức độ bảo mật cao.
Nhược điểm của tùy chọn:
  1. Yêu cầu ngày càng cao về chức năng của thiết bị.
  2. Chi phí lao động để thực hiện và hỗ trợ.
Tương tự với đời thực
Nếu trước đây chúng ta so sánh DMZ với khu vực khách hàng được trang bị ghế sofa và ghế dài, thì DMZ an toàn sẽ giống một máy tính tiền bọc thép hơn.


valmax.com.ua

Tùy chọn 5. Kết nối lại

Các biện pháp bảo vệ được xem xét trong phiên bản trước dựa trên thực tế là có một thiết bị trên mạng (bộ chuyển mạch / bộ định tuyến / tường lửa) có khả năng thực hiện chúng. Nhưng trong thực tế, chẳng hạn, khi sử dụng cơ sở hạ tầng ảo (các bộ chuyển mạch ảo thường có khả năng rất hạn chế), một thiết bị như vậy có thể không tồn tại.

Trong những điều kiện này, nhiều cuộc tấn công đã thảo luận trước đó sẽ có sẵn đối với Người vi phạm, trong đó cuộc tấn công nguy hiểm nhất sẽ là:

  • các cuộc tấn công cho phép bạn chặn và sửa đổi lưu lượng truy cập (Ngộ độc ARP, tràn bảng CAM + chiếm quyền điều khiển phiên TCP, v.v.);
  • các cuộc tấn công liên quan đến việc khai thác lỗ hổng trong các máy chủ mạng nội bộ mà kết nối có thể được bắt đầu từ DMZ (có thể thực hiện bằng cách bỏ qua các quy tắc lọc DFW do giả mạo IP và MAC).
Tính năng quan trọng tiếp theo mà trước đây chúng tôi chưa xem xét nhưng không kém phần quan trọng, đó là máy trạm tự động (AWS) của người dùng cũng có thể là nguồn gây ra tác hại (ví dụ: khi bị nhiễm vi-rút hoặc Trojan) trên các máy chủ.

Vì vậy, chúng ta phải đối mặt với nhiệm vụ bảo vệ các máy chủ của mạng nội bộ khỏi các cuộc tấn công của Kẻ xâm nhập cả từ DMZ và từ mạng nội bộ (việc máy trạm bị nhiễm Trojan có thể được hiểu là hành động của Kẻ xâm nhập từ mạng nội bộ ).

Cách tiếp cận được đề xuất dưới đây nhằm mục đích giảm số lượng kênh mà Kẻ xâm nhập có thể tấn công máy chủ và có ít nhất hai kênh như vậy. Đầu tiên là quy định về DFW, cho phép truy cập vào máy chủ mạng nội bộ từ DMZ (ngay cả khi bị giới hạn bởi địa chỉ IP) và thứ hai là một cổng mạng mở trên máy chủ dự kiến ​​​​sẽ có các yêu cầu kết nối.

Bạn có thể đóng các kênh này nếu máy chủ mạng nội bộ tự xây dựng các kết nối đến máy chủ trong DMZ và thực hiện việc này bằng các giao thức mạng bảo mật bằng mật mã. Khi đó sẽ không có cổng mở cũng như không có quy tắc nào về DFW.

Nhưng vấn đề là các dịch vụ máy chủ thông thường không biết cách hoạt động theo cách này và để thực hiện phương pháp này, cần phải sử dụng đường hầm mạng, chẳng hạn như sử dụng SSH hoặc VPN và trong các đường hầm cho phép kết nối từ máy chủ trong DMZ đến máy chủ mạng nội bộ.

Sơ đồ hoạt động chung của tùy chọn này như sau:

  1. Máy chủ SSH/VPN được cài đặt trên máy chủ trong DMZ và máy khách SSH/VPN được cài đặt trên máy chủ trong mạng nội bộ.
  2. Máy chủ mạng nội bộ bắt đầu xây dựng đường hầm mạng tới máy chủ trong DMZ. Đường hầm được xây dựng với sự xác thực lẫn nhau giữa máy khách và máy chủ.
  3. Máy chủ từ DMZ, trong đường hầm được xây dựng, bắt đầu kết nối với máy chủ trong mạng nội bộ, qua đó dữ liệu được bảo vệ được truyền đi.
  4. Tường lửa cục bộ được cấu hình trên máy chủ mạng nội bộ để lọc lưu lượng truy cập đi qua đường hầm.

Việc sử dụng tùy chọn này trong thực tế cho thấy việc xây dựng đường hầm mạng bằng OpenVPN là thuận tiện vì nó có các thuộc tính quan trọng sau:

  • Đa nền tảng. Bạn có thể tổ chức liên lạc trên các máy chủ có hệ điều hành khác nhau.
  • Khả năng xây dựng đường hầm với xác thực lẫn nhau của máy khách và máy chủ.
  • Khả năng sử dụng mật mã được chứng nhận.
Thoạt nhìn, có vẻ như sơ đồ này phức tạp không cần thiết và vì bạn vẫn cần cài đặt tường lửa cục bộ trên máy chủ mạng nội bộ nên việc tạo máy chủ từ DMZ kết nối với mạng nội bộ sẽ dễ dàng hơn như thường lệ. máy chủ, nhưng thực hiện điều đó bằng kết nối được mã hóa. Thật vậy, tùy chọn này sẽ giải quyết được nhiều vấn đề, nhưng nó sẽ không thể cung cấp điều chính - bảo vệ chống lại các cuộc tấn công vào các lỗ hổng máy chủ mạng nội bộ được thực hiện bằng cách vượt qua tường lửa bằng cách giả mạo IP và MAC.

Ưu điểm của tùy chọn:

  1. Kiến trúc giảm số lượng vectơ tấn công trên máy chủ mạng nội bộ được bảo vệ.
  2. Đảm bảo an ninh trong trường hợp không có bộ lọc lưu lượng mạng.
  3. Bảo vệ dữ liệu được truyền qua mạng khỏi bị xem và sửa đổi trái phép.
  4. Khả năng tăng cường có chọn lọc mức độ bảo mật của dịch vụ.
  5. Khả năng triển khai hệ thống bảo vệ hai mạch, trong đó mạch đầu tiên được cung cấp bằng cách sử dụng tường lửa và mạch thứ hai được tổ chức trên cơ sở tùy chọn này.
Nhược điểm của tùy chọn:
  1. Việc thực hiện và duy trì phương án bảo vệ này đòi hỏi thêm chi phí lao động.
  2. Không tương thích với các hệ thống phát hiện và ngăn chặn xâm nhập mạng (IDS/IPS).
  3. Tải tính toán bổ sung trên máy chủ.
Tương tự với đời thực
Ý nghĩa chính của phương án này là người được tin cậy thiết lập kết nối với người không được tin cậy, tương tự như trường hợp khi cho vay, Ngân hàng tự gọi người đi vay tiềm năng lại để kiểm tra dữ liệu.
  • mạng công ty
    • Thêm thẻ

    Cổng thông tin trường học hỗ trợ quản lý truy cập Internet.

    Việc quản lý được thực hiện thông qua tích hợp với máy chủ proxy Squid.

    Để thay đổi quyền truy cập, hãy vào menu: Dịch vụ → Truy cập Internet....

    Hành động này chỉ dành cho đại diện của ban giám hiệu nhà trường.

    Để cấp quyền truy cập Internet, chỉ cần đánh dấu vào ô bên cạnh tên người dùng (học sinh, giáo viên) hoặc cả lớp. Để thu hồi quyền truy cập, bạn cần bỏ chọn hộp này. Những thay đổi được áp dụng sau khi nhấp vào nút "Lưu".

    Để một máy trên mạng cục bộ truy cập Internet, được hướng dẫn bởi quyền được định cấu hình trong Cổng, bạn cần định cấu hình máy đó để sử dụng máy chủ proxy.

    Địa chỉ máy chủ proxy là địa chỉ máy chủ của trường bạn trên mạng cục bộ nơi Cổng thông tin trường học được cài đặt. Cổng giao thức - 3128 .

    Khi người dùng truy cập Internet thông qua máy chủ proxy, thông tin đăng nhập và mật khẩu từ Cổng thông tin trường học sẽ được yêu cầu.

    Để ngăn chặn việc truy cập Internet qua máy chủ proxy một cách đáng tin cậy, cần kiểm tra xem máy chủ của trường không cung cấp định tuyến Internet cho các máy quan tâm và các máy đó cũng không có quyền truy cập thông qua bộ chuyển mạch, modem, bộ định tuyến, Wi- Fi và các thiết bị khác của cơ sở giáo dục mà nhân viên và sinh viên có quyền truy cập mạng.

    Hệ thống lọc nội dung (SCF)

    Cả sự vắng mặt của SCF và tích hợp với nhiều nhà cung cấp đều được hỗ trợ.

    Cài đặt SCF nằm ở cột bên trái của trang quản lý truy cập Internet.

    Một số SCF yêu cầu đăng ký để quản lý danh sách các tài nguyên bị cấm (ví dụ: mạng xã hội, tài liệu tục tĩu, bộ sưu tập tóm tắt, v.v.). Các cài đặt như vậy được thay đổi trong giao diện web trên chính trang web SCF chứ không phải trong Cổng thông tin. Hỗ trợ người dùng về các vấn đề chất lượng lọc được cung cấp bởi tổ chức phục vụ SCF. Cổng thông tin chỉ cho phép bạn bật hoặc tắt việc gửi yêu cầu đến máy chủ DNS SCF từ máy chủ proxy của trường và không có gì hơn thế.

    SCF, tương tự như quyền truy cập Internet, chỉ áp dụng cho các máy được cấu hình nghiêm ngặt thông qua máy chủ proxy của trường.

    Quan trọng! Hoạt động của SCF sau khi bật phải được kiểm tra theo mong đợi của bạn vì Cổng thông tin không thể tự động kiểm tra điều này cho bạn. Các điều khoản và điều kiện cung cấp SCF có thể được nhà sản xuất thay đổi bất kỳ lúc nào. Rất đáng để đăng ký nhận tin tức từ dịch vụ bạn sử dụng.

    Phải làm gì nếu Cổng thông tin hiển thị thông báo “Chức năng bị vô hiệu hóa” hoặc nội dung nào đó không hoạt động.

    Các bước kiểm tra và hành động trong phần này của bài viết chỉ được cung cấp cho Ubuntu Server 10.04 LTS:

    Tất cả các hành động phải được thực hiện với tư cách là người dùng root.

    1. Mực có được cài đặt không?

    Dpkg -s mực3 | phiên bản grep -i

    Nếu không, hãy cài đặt:

    Apt-get cài đặt mực3

    2. Các tham số này có trong file cấu hình Portal không?

    Auth = htpasswd cơ bản = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed

    Nếu không, thêm và thực hiện

    Pkill nhanh chóng

    3. Squid có chạy không? Nghe trên cổng 3128?

    Bài kiểm tra:

    Netstat -ntlp | grep 3128

    Phản hồi sẽ giống như thế này (1234 là một ví dụ, bạn có thể có số quy trình khác):

    Tcp 0 0 0.0.0.0:3128 0.0.0.0:* NGHE 1234/(mực)

    Cách khởi động Squid:

    /etc/init.d/squid3 bắt đầu

    * Khởi động Squid HTTP Proxy 3.0 Squid3

    4. Đặt Squid ở chế độ tự khởi động:

    Kích hoạt Update-rc.d Squ3

    5. Tạo, nếu không và đặt quyền truy cập vào các tệp dịch vụ do Cổng thông tin chịu trách nhiệm quản lý:

    Chạm vào /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed

    6. Tệp cấu hình Squid sẵn có chưa sẵn sàng để tích hợp; cần phải sửa.

    Trước tiên, hãy đảm bảo rằng nó KHÔNG tích hợp cổng thông tin (không chấp nhận được nhiều bản vá):

    Grep "Kiểm soát Internet cổng thông tin trường học" /etc/squid3/squid.conf

    Nếu dòng lệnh trên được xuất ra thì nên bỏ qua bước này.

    Tuy nhiên, nếu tệp cấu hình đã bị thay đổi khiến dòng vẫn ở đó và quá trình tích hợp không hoạt động, hãy lấy tệp cấu hình gốc từ Squid và thực hiện bước này trên đó.

    Vì vậy, nếu KHÔNG có dòng:

    6.1. Loại bỏ các quy tắc ngăn cản việc tích hợp và thay đổi các trang lỗi sang phiên bản tiếng Nga:

    Perl -i-origen -p -e "s!^http_access từ chối tất cả$!#http_access từ chối tất cả!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack /ru!;" /etc/squid3/squid.conf

    6.2. Thêm một đoạn tích hợp:

    Echo " # ================================ # Kiểm soát Internet cổng thông tin trường học # Để tắt, thay thế /etc/squid3/squid.conf bằng /etc/squid3/squid.conf-origin # =========================================== ==== auth_param chương trình cơ bản /usr/lib/ mực3/ncsa_auth /var/www/sp_htpasswd auth_param con cơ bản 5 auth_param lĩnh vực cơ bản Máy chủ web bộ nhớ đệm proxy mực auth_param thông tin xác thực cơ bảnttl 2 giờ auth_param phân biệt chữ hoa chữ thường trên acl sp_users_allowed proxy_auth "/var/ www/sp_users_allowed" http_access cho phép sp_users_allowed http_access từ chối tất cả " > > /etc/squid3/squid.conf

    Nếu một khối như vậy xuất hiện nhiều lần trong tệp ink.conf, hãy xóa các khối trùng lặp, ngay cả khi mọi thứ đều hoạt động. Với sự lặp lại, mỗi lần danh sách tuyển sinh được cập nhật từ cổng thông tin, Squid sẽ đưa ra các cảnh báo trong nhật ký của nó về việc xác định lại các quy tắc.

    6.3. Sau khi thực hiện thay đổi, Squid cần được khởi động lại.

    /etc/init.d/squid3 khởi động lại

    7. Tiếp theo, sử dụng giao diện web của Cổng thông tin trường học để phân phối quyền truy cập Internet. Bạn sẽ thấy sự thay đổi trong danh sách người dùng cổng thông tin được phép đăng nhập trong tệp /var/www/sp_users_allowed sau khi nhấp vào nút "Áp dụng" trong giao diện web của cổng thông tin.

    Nhật ký truy cập mực (/var/log/squid3) sẽ chứa thông tin đăng nhập của người dùng cổng thông tin. Bạn có thể sử dụng bất kỳ máy phân tích nhật ký nào tương thích với định dạng nhật ký Squid. Việc tích hợp với Cổng thông tin không vi phạm định dạng mặc định của nhật ký; điểm khác biệt là sự hiện diện của thông tin đăng nhập từ cổng ở nơi sẽ có dấu gạch ngang nếu không có sự cho phép của người dùng.

    8. Kiểm tra xem tường lửa trên máy chủ của trường và trên máy khách có chặn kết nối hay không. Theo mặc định, trên Máy chủ Ubuntu sạch, tường lửa cho phép tất cả các kết nối; nếu bạn can thiệp vào cấu hình của nó bằng bất kỳ cách nào, hãy đảm bảo rằng các kết nối từ mạng cục bộ của trường đến cổng 3128 của máy chủ và các kết nối đi từ máy chủ đều được cho phép.

    Quản trị viên phân phối tài nguyên Internet cho nhân viên công ty, tạo danh sách các tên miền, địa chỉ IP bị cấm hoặc được phép, v.v. Đồng thời, anh ta có thể đặt ra các hạn chế về thời gian hoặc lưu lượng giao thông. Trong trường hợp bội chi, quyền truy cập Internet sẽ tự động bị đóng.

    Lưu ý: Quản trị viên luôn có thể cung cấp cho ban quản lý một báo cáo về việc sử dụng mạng của từng nhân viên.

    • Hệ thống quy tắc kiểm soát truy cập Internet linh hoạt:
      • hạn chế về thời gian hoạt động, về lượng lưu lượng gửi/nhận (kế toán lưu lượng) mỗi ngày và/hoặc tuần và/hoặc tháng, về lượng thời gian sử dụng mỗi ngày và/hoặc tuần và/hoặc tháng;
      • các bộ lọc kiểm soát quyền truy cập của người dùng vào các tài nguyên không mong muốn (trang web khiêu dâm, trò chơi);
      • hệ thống phát triển hạn chế giao thôngtốc độ truy cập cho mỗi người dùng. Trong trường hợp lưu lượng truy cập quá mức, truy cập Internet sẽ tự động bị đóng;
      • danh sách các tên miền, địa chỉ IP bị cấm hoặc được phép, các phần của chuỗi URL, quyền truy cập bị quản trị viên cấm/cho phép;
      • khả năng thiết lập một loạt địa chỉ IP được phép và bị cấm;
      • lịch trình làm việc hàng giờ của người dùng trên Internet;
      • các bộ lọc cho phép bạn định cấu hình “cắt biểu ngữ” hiệu quả cao.
    • Đếm và xem số liệu thống kê hoạt động của người dùng theo các thông số khác nhau (ngày, trang web) trong một khoảng thời gian tùy ý. Chỉ những người dùng trên mạng cục bộ mới có thể xem số liệu thống kê về hoạt động của người dùng trên Internet trong tháng hiện tại qua HTTP.
    • Hệ thống thanh toán tích hợp tự động tính toán chi phí cho công việc của người dùng trên Internet dựa trên giá cả, thời gian và/hoặc lưu lượng truy cập. Bạn có thể đặt mức thuế cho từng người dùng riêng lẻ hoặc cho một nhóm người dùng. Có thể chuyển đổi mức giá tùy thuộc vào thời gian trong ngày, ngày trong tuần hoặc địa chỉ địa điểm.

    Bảo mật thông tin văn phòng

    • Hỗ trợ VPN Mạng riêng ảo là sự kết hợp của các máy riêng lẻ hoặc mạng cục bộ trong mạng, tính bảo mật được đảm bảo bằng cơ chế mã hóa dữ liệu và xác thực người dùng.
    • Tường lửa tích hợp ngăn chặn truy cập trái phép vào dữ liệu máy chủ và mạng cục bộ bằng cách cấm kết nối trên một số cổng và giao thức nhất định. Chức năng tường lửa kiểm soát quyền truy cập vào các cổng cần thiết, chẳng hạn như để xuất bản máy chủ web của công ty lên Internet.
    • Kaspersky Antivirus và Pandađược tích hợp vào máy chủ proxy Cổng người dùng, hoạt động như bộ lọc: chặn dữ liệu được truyền qua giao thức HTTP và FTP. Hỗ trợ các giao thức thư POP3 và SMTP được triển khai ở cấp cao nhất. Điều này cho phép bạn sử dụng phần mềm chống vi-rút tích hợp để quét lưu lượng thư. Nếu thư chứa tệp đính kèm có vi-rút, máy chủ proxy sẽ Cổng người dùng sẽ xóa tệp đính kèm và thông báo cho người dùng về điều này bằng cách thay đổi nội dung của bức thư. Tất cả các tệp bị nhiễm hoặc đáng ngờ từ các bức thư đều được đặt trong một thư mục đặc biệt trong thư mục Cổng người dùng.
      Người quản lý Cổng người dùng có thể chọn sử dụng một mô-đun chống vi-rút hoặc cả hai cùng một lúc. Trong trường hợp sau, bạn có thể chỉ định thứ tự quét từng loại lưu lượng truy cập. Ví dụ: lưu lượng HTTP trước tiên sẽ được quét bởi phần mềm chống vi-rút từ Kaspersky Lab, sau đó bằng mô-đun từ Panda Software
    • Hỗ trợ giao thức thư
      POP3 – và SMTP – proxy trong Cổng người dùng có thể hoạt động có hoặc không có trình điều khiển NAT. Khi làm việc mà không có trình điều khiển, tài khoản trong ứng dụng thư khách ở phía người dùng được định cấu hình theo cách đặc biệt. Khi làm việc bằng trình điều khiển (hoạt động như một proxy ở chế độ trong suốt), việc thiết lập thư từ phía người dùng được thực hiện giống như khi truy cập trực tiếp vào Internet. Trong tương lai, việc hỗ trợ các giao thức POP3 và SMTP ở cấp cao nhất sẽ được sử dụng để tạo mô-đun chống thư rác.

    Quản trị bằng máy chủ proxy UserGate

    • Quy tắc mạng
      Trong một máy chủ proxy Cổng người dùng Hỗ trợ NAT (Dịch địa chỉ mạng) và công nghệ ánh xạ cổng đã được triển khai. Công nghệ NAT được sử dụng để tạo proxy minh bạch và hỗ trợ các giao thức khác ngoài HTTP hoặc FTP.
      Proxy minh bạch cho phép người dùng làm việc mà không cần cài đặt đặc biệt và quản trị viên không cần phải định cấu hình trình duyệt người dùng theo cách thủ công.
    • Mô-đun bổ sung Usergate Cache Explorerđược thiết kế để xem nội dung của bộ nhớ Cache. Làm việc với chức năng này rất đơn giản: bạn chỉ cần xác định vị trí của tệp ug_cache.lst từ thư mục bộ đệm khi khởi động nó. Sau khi đọc nội dung của tập tin này Trình khám phá bộ đệm của người dùng sẽ hiển thị danh sách các tài nguyên được lưu trong bộ nhớ cache. Bảng điều khiển Cache Explorer có một số nút cho phép bạn lọc nội dung Cache theo kích thước, tiện ích mở rộng, v.v. Dữ liệu đã lọc có thể được lưu vào một thư mục trên ổ cứng của bạn để nghiên cứu kỹ hơn.
    • Chức năng gán cổng(Ánh xạ cổng) cho phép bạn liên kết bất kỳ cổng đã chọn nào của một trong các giao diện IP cục bộ với cổng mong muốn của máy chủ từ xa. Việc gán cổng được sử dụng để tổ chức hoạt động của các ứng dụng, trò chơi và ứng dụng khách ngân hàng và các chương trình khác yêu cầu các gói được chuyển tiếp đến một địa chỉ IP cụ thể. Nếu bạn cần quyền truy cập từ Internet vào một tài nguyên mạng cụ thể, điều này cũng có thể đạt được bằng cách sử dụng chức năng gán cổng.
    • Quản lý lưu lượng: kiểm soát và tính toán lưu lượng mạng của bạn
      Chức năng “Quản lý lưu lượng” được thiết kế để tạo các quy tắc kiểm soát quyền truy cập Internet của người dùng mạng cục bộ, để tạo và thay đổi các mức phí được sử dụng Cổng người dùng.
      Chú ý: Trình điều khiển NAT được tích hợp trong máy chủ proxy Cổng người dùng, cung cấp tính toán chính xác nhất về lưu lượng truy cập Internet.
      Trong một máy chủ proxy Cổng người dùng Có thể tách các loại lưu lượng khác nhau, ví dụ: lưu lượng truy cập Internet trong nước và nước ngoài. Nó cũng giám sát lưu lượng truy cập, địa chỉ IP của người dùng đang hoạt động, thông tin đăng nhập của họ và URL đã truy cập trong thời gian thực.
    • Quản trị từ xa cho phép quản trị viên hệ thống di động vì giờ đây có thể quản trị máy chủ proxy Cổng người dùng từ xa.
    • Gửi thư tự động và thủ công người dùng thông tin về lưu lượng truy cập của họ qua e-mail, bao gồm cả thông qua các máy chủ có ủy quyền SMTP.
    • Kết nối đến proxy tầng với khả năng được ủy quyền.
    • Trình tạo báo cáo linh hoạt với khả năng xuất sang MS Excel và HTML.
    • Nhiều cách khác nhau để ủy quyền cho người dùng: theo tất cả các giao thức; theo địa chỉ IP, theo IP+MAC, IP+MAC (đăng ký); bằng tên người dùng và mật khẩu; sử dụng ủy quyền Windows và Active Directory.
    • Nhập người dùng từ Active Directory- bây giờ bạn không cần phải tạo hàng trăm người dùng theo cách thủ công, chương trình sẽ làm mọi thứ cho bạn.
    • Bảng kế hoạch cho phép bạn thực hiện một trong những hành động được xác định trước tại một thời điểm cụ thể: gửi số liệu thống kê, khởi chạy chương trình, thiết lập hoặc chấm dứt kết nối quay số, cập nhật cơ sở dữ liệu chống vi-rút.
    • Cổng người dùng hỗ trợ sau đây giao thức:
      • HTTP (bộ nhớ đệm);
      • FTP (bộ nhớ đệm);
      • Tất4, Tất5;
      • POP3;
      • SMTP;
      • Bất kỳ giao thức UDP/TCP nào qua NAT (Dịch địa chỉ mạng) và thông qua việc gán cổng.

    Tiết kiệm tiền khi sử dụng Internet

    Sử dụng bộ lọc tích hợp Cổng người dùng chặn việc tải quảng cáo từ Internet và cấm truy cập vào các tài nguyên không mong muốn.

    Lưu ý: Quản trị viên có thể cấm tải xuống các tệp có phần mở rộng nhất định, ví dụ: jpeg, mp3.

    Ngoài ra, chương trình có thể ghi nhớ (bộ nhớ đệm) tất cả các trang và hình ảnh đã truy cập, giải phóng kênh để tải xuống thông tin hữu ích. Tất cả điều này làm giảm đáng kể không chỉ lưu lượng truy cập mà còn cả thời gian dành cho đường dây.

    Máy chủ proxy UserGate: tính toán lưu lượng mạng của bạn!